知財求人 - 知財ポータルサイト「IP Force」
特許5763871クラウドセキュリティシステムにおいて未知のファイルのセキュリティ情報を決定するための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5763871
(24)【登録日】2015年6月19日
(45)【発行日】2015年8月12日
(54)【発明の名称】クラウドセキュリティシステムにおいて未知のファイルのセキュリティ情報を決定するための方法および装置
(51)【国際特許分類】
G06F 21/56 20130101AFI20150723BHJP
【FI】
G06F21/56 360
【請求項の数】14
【全頁数】16
(21)【出願番号】特願2015-516429(P2015-516429)
(86)(22)【出願日】2013年6月13日
(65)【公表番号】特表2015-521761(P2015-521761A)
(43)【公表日】2015年7月30日
(86)【国際出願番号】CN2013077162
(87)【国際公開番号】WO2013185612
(87)【国際公開日】20131219
【審査請求日】2015年2月10日
(31)【優先権主張番号】201210194013.8
(32)【優先日】2012年6月13日
(33)【優先権主張国】CN
【早期審査対象出願】
(73)【特許権者】
【識別番号】506379493
【氏名又は名称】▲騰▼▲訊▼科技(深▲セン▼)有限公司
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(74)【代理人】
【識別番号】100140534
【弁理士】
【氏名又は名称】木内 敬二
(72)【発明者】
【氏名】▲陳▼ ▲陽▼
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
中国特許出願公開第101924762(CN,A)
【文献】
特表2011−527046(JP,A)
【文献】
特開2010−79901(JP,A)
【文献】
特開2010−79906(JP,A)
【文献】
米国特許出願公開第2011/0185429(US,A1)
【文献】
特開2010−205287(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/00−21/88
(57)【特許請求の範囲】
【請求項1】
未知のファイルのセキュリティ情報を決定するための方法であって、
クラウドセキュリティサービングエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
を含み、
前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップが、
前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルの前記ファイルセキュリティ情報を安全ではないファイルと決定する、ステップ、
を含み、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記クラウドセキュリティサービングエンドが、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会し、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップ、
を含む方法。
クラウドセキュリティサービングエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
を含み、
前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップが、
前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルの前記ファイルセキュリティ情報を安全ではないファイルと決定する、ステップ、
を含み、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記クラウドセキュリティサービングエンドが、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会し、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップ、
を含む方法。
【請求項2】
請求項1に記載の方法であって、
前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップが、
前記フィードバック情報の前記統計結果と前記セキュリティレベルとに重みづけをし、前記重みづけした結果に従って前記ファイルセキュリティ情報を決定するステップ、
を含む方法。
前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップが、
前記フィードバック情報の前記統計結果と前記セキュリティレベルとに重みづけをし、前記重みづけした結果に従って前記ファイルセキュリティ情報を決定するステップ、
を含む方法。
【請求項3】
請求項1に記載の方法であって、さらに、
前記クラウドセキュリティサービングエンドによって送信されたセキュリティプロンプト情報を受信した後に前記クラウドクライアントエンドが前記セキュリティプロンプト情報に従って前記ファイルを処理し、前記クラウドセキュリティサービングエンドに前記ファイルの処理情報を返信するように、前記クラウドセキュリティサービングエンドが前記ファイルの前記セキュリティレベルと前記ファイルの前記フィードバック情報の前記統計結果とに従って前記ファイルの前記ファイルセキュリティ情報を決定した後、前記クラウドクライアントエンドにセキュリティプロンプト情報を送信し、前記クラウドセキュリティサービングエンドが、前記クラウドクライアントエンドによって返信された前記処理情報に従って前記統計情報データベースを更新する、ステップ、
を含む方法。
前記クラウドセキュリティサービングエンドによって送信されたセキュリティプロンプト情報を受信した後に前記クラウドクライアントエンドが前記セキュリティプロンプト情報に従って前記ファイルを処理し、前記クラウドセキュリティサービングエンドに前記ファイルの処理情報を返信するように、前記クラウドセキュリティサービングエンドが前記ファイルの前記セキュリティレベルと前記ファイルの前記フィードバック情報の前記統計結果とに従って前記ファイルの前記ファイルセキュリティ情報を決定した後、前記クラウドクライアントエンドにセキュリティプロンプト情報を送信し、前記クラウドセキュリティサービングエンドが、前記クラウドクライアントエンドによって返信された前記処理情報に従って前記統計情報データベースを更新する、ステップ、
を含む方法。
【請求項4】
請求項1に記載の方法であって、さらに、
前記ファイルの前記ファイルセキュリティクエリ情報に従って前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成するステップの前に、前記クラウドクライアントエンドによって報告された前記ファイルセキュリティクエリ情報に従って前記クラウドセキュリティサービングエンドがファイルセキュリティデータベースに照会し、前記ファイルの前記ファイルセキュリティ情報が見つかった場合、照会結果に従って前記ファイルの前記ファイルセキュリティ情報を決定し、そうでない場合、前記ファイルの前記ファイルセキュリティクエリ情報に従って前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成する処理を実行する、ステップ、
を含む方法。
前記ファイルの前記ファイルセキュリティクエリ情報に従って前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成するステップの前に、前記クラウドクライアントエンドによって報告された前記ファイルセキュリティクエリ情報に従って前記クラウドセキュリティサービングエンドがファイルセキュリティデータベースに照会し、前記ファイルの前記ファイルセキュリティ情報が見つかった場合、照会結果に従って前記ファイルの前記ファイルセキュリティ情報を決定し、そうでない場合、前記ファイルの前記ファイルセキュリティクエリ情報に従って前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成する処理を実行する、ステップ、
を含む方法。
【請求項5】
請求項1に記載の方法であって、
前記予め設定された監視ポイントが、前記クラウドクライアントエンドのオペレーティングシステム内にあり、前記クラウドクライアントエンドの、プロセス、ファイル、レジストリテーブルおよび/またはネットワーク動作を監視するために使用される、
方法。
前記予め設定された監視ポイントが、前記クラウドクライアントエンドのオペレーティングシステム内にあり、前記クラウドクライアントエンドの、プロセス、ファイル、レジストリテーブルおよび/またはネットワーク動作を監視するために使用される、
方法。
【請求項6】
請求項5に記載の方法であって、
前記監視ポイントが、前記クラウドクライアントエンドへの危険度に対応する危険レベルを有する、
方法。
前記監視ポイントが、前記クラウドクライアントエンドへの危険度に対応する危険レベルを有する、
方法。
【請求項7】
請求項1から請求項6のいずれか一項に記載の方法であって、
前記ファイルの前記行動情報が、前記監視ポイントをトリガするプロセスの情報、前記プロセスにより処理されるオブジェクト情報、および/または、前記プロセスのアクション情報、
を含む方法。
前記ファイルの前記行動情報が、前記監視ポイントをトリガするプロセスの情報、前記プロセスにより処理されるオブジェクト情報、および/または、前記プロセスのアクション情報、
を含む方法。
【請求項8】
クラウドセキュリティシステムにおいて未知のファイルのセキュリティ情報を決定するための装置であり、受信モジュール、生成モジュール、解析モジュールおよび決定モジュールを含む装置であって、
前記受信モジュールが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信し、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含み、
前記生成モジュールが、前記ファイルのファイルセキュリティクエリ情報に従って、ライフサイクル内の前記ファイルの行動シーケンスを生成し、
前記解析モジュールが、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、
前記決定モジュールが、前記解析モジュールの解析結果に従って前記ファイルのファイルセキュリティ情報を決定し、
前記解析モジュールが、前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、
前記決定モジュールが、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルセキュリティ情報を安全ではないファイルと決定し、
前記装置がさらに、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会する照会モジュール、
を含み、
前記決定モジュールがさらに、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定する、
装置。
前記受信モジュールが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信し、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含み、
前記生成モジュールが、前記ファイルのファイルセキュリティクエリ情報に従って、ライフサイクル内の前記ファイルの行動シーケンスを生成し、
前記解析モジュールが、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、
前記決定モジュールが、前記解析モジュールの解析結果に従って前記ファイルのファイルセキュリティ情報を決定し、
前記解析モジュールが、前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、
前記決定モジュールが、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルセキュリティ情報を安全ではないファイルと決定し、
前記装置がさらに、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会する照会モジュール、
を含み、
前記決定モジュールがさらに、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定する、
装置。
【請求項9】
請求項8に記載の装置であって、
前記決定モジュールがさらに、前記フィードバック情報の前記統計結果と前記セキュリティレベルとに重みづけし、前記重みづけした結果に従って前記ファイルセキュリティ情報を決定する、
装置。
前記決定モジュールがさらに、前記フィードバック情報の前記統計結果と前記セキュリティレベルとに重みづけし、前記重みづけした結果に従って前記ファイルセキュリティ情報を決定する、
装置。
【請求項10】
請求項8に記載の装置であって、さらに送信モジュールを含み、
前記送信モジュールが、前記クラウドクライアントエンドがセキュリティプロンプト情報を受信した後に前記セキュリティプロンプト情報に従って前記ファイルを処理するように、前記ファイルの前記セキュリティレベルと前記ファイルの前記フィードバック情報の前記統計結果とに従って前記決定モジュールが前記ファイルの前記ファイルセキュリティ情報を決定した後、前記クラウドクライアントエンドにセキュリティプロンプト情報を送信し、
前記受信モジュールはさらに、前記クラウドクライアントエンドによって返信された前記ファイルの処理情報を受信し、前記クラウドクライアントエンドによって返信された前記処理情報に従って前記統計情報データベースを更新する、
装置。
前記送信モジュールが、前記クラウドクライアントエンドがセキュリティプロンプト情報を受信した後に前記セキュリティプロンプト情報に従って前記ファイルを処理するように、前記ファイルの前記セキュリティレベルと前記ファイルの前記フィードバック情報の前記統計結果とに従って前記決定モジュールが前記ファイルの前記ファイルセキュリティ情報を決定した後、前記クラウドクライアントエンドにセキュリティプロンプト情報を送信し、
前記受信モジュールはさらに、前記クラウドクライアントエンドによって返信された前記ファイルの処理情報を受信し、前記クラウドクライアントエンドによって返信された前記処理情報に従って前記統計情報データベースを更新する、
装置。
【請求項11】
請求項8に記載の装置であって、
前記予め設定された監視ポイントが、前記クラウドクライアントエンドのオペレーティングシステム内にあり、前記クラウドクライアントエンドの、プロセス、ファイル、レジストリテーブルおよび/またはネットワーク動作を監視するために使用される、
装置。
前記予め設定された監視ポイントが、前記クラウドクライアントエンドのオペレーティングシステム内にあり、前記クラウドクライアントエンドの、プロセス、ファイル、レジストリテーブルおよび/またはネットワーク動作を監視するために使用される、
装置。
【請求項12】
請求項11に記載の装置であって、
前記監視ポイントが、前記クラウドクライアントエンドへの危険度に対応する危険レベルを有する、
装置。
前記監視ポイントが、前記クラウドクライアントエンドへの危険度に対応する危険レベルを有する、
装置。
【請求項13】
請求項8から請求項12のいずれか一項に記載の装置であって、
前記ファイルの前記行動情報が、前記監視ポイントをトリガするプロセスの情報、前記プロセスにより処理されるオブジェクト情報、および/または、前記プロセスのアクション情報、を含む、
装置。
前記ファイルの前記行動情報が、前記監視ポイントをトリガするプロセスの情報、前記プロセスにより処理されるオブジェクト情報、および/または、前記プロセスのアクション情報、を含む、
装置。
【請求項14】
非一時的機械可読記録媒体であって、
クラウドセキュリティサービングエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップが、前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルの前記ファイルセキュリティ情報を安全ではないファイルと決定する、ステップ、を含み、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記クラウドセキュリティサービングエンドが、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会し、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップ、
の動作を実行するための、1つまたは複数のプロセッサによって実行可能な命令のセットを含む、非一時的機械可読記録媒体。
クラウドセキュリティサービングエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップが、前記ファイルのセキュリティレベルを取得するために、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル動作シーケンスに基づいて生成されたファイル動作シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記セキュリティレベルが第1閾値よりも高い場合、前記ファイルの前記ファイルセキュリティ情報を安全なファイルと決定し、前記セキュリティレベルが第2閾値よりも低い場合、前記ファイルの前記ファイルセキュリティ情報を安全ではないファイルと決定する、ステップ、を含み、
前記セキュリティレベルが前記第1閾値よりも低くかつ前記第2閾値よりも高い場合、前記クラウドセキュリティサービングエンドが、前記ファイルのフィードバック情報の統計結果を取得するために統計情報データベースを照会し、前記セキュリティレベルと前記フィードバック情報の前記統計結果とに従って、前記ファイルの前記ファイルセキュリティ情報を決定するステップ、
の動作を実行するための、1つまたは複数のプロセッサによって実行可能な命令のセットを含む、非一時的機械可読記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークセキュリティ技術分野に関し、より詳細には、クラウドセキュリティシステムにおいて未知のファイルのセキュリティ情報を決定するための方法および装置に関する。
【背景技術】
【0002】
クラウドセキュリティシステムは、クラウドセキュリティサービスエンドでのファイルセキュリティ情報を格納するシステムを指す。クラウドクライアントエンドは、クラウドクライアントエンド内に格納されたファイルセキュリティ情報を照会することにより、ファイルが安全であるか否かを示すプロンプト情報を取得する。
【0003】
クラウドセキュリティシステムは、現在のネットワークセキュリティ分野で重要な役割を果たしている。クラウドセキュリティシステムに基づいて、クラウドクライアントエンドは、クラウドクライアントエンドへのセキュリティスキャンを行うことなく、クラウドセキュリティサービスエンド内のファイルセキュリティ情報の照会を通じて、ファイルが安全であるか否かを示すプロンプト情報を取得してもよい。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本開示の例は、クラウドセキュリティシステムにおける未知のファイルのセキュリティ情報を決定するように、クラウドセキュリティシステムにおける未知のファイルのセキュリティ情報を決定するための方法および装置を提供する。
【課題を解決するための手段】
【0005】
本開示の技術的なソリューションは下記である。
【0006】
クラウドセキュリティシステムにおける未知のファイルのセキュリティ情報を決定するための方法であって、予め設定された監視ポイントがトリガされたとき、クラウドセキュリティサービングエンドが、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
を含む方法である。
【0007】
クラウドセキュリティシステムにおいて未知のファイルのセキュリティ情報を決定するための装置であり、受信モジュール、生成モジュール、解析モジュールおよび決定モジュールを含む装置であって、前記受信モジュールが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信し、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含み、
前記生成モジュールが、前記ファイルのファイルセキュリティクエリ情報に従って、ライフサイクル内の前記ファイルの行動シーケンスを生成し、
前記解析モジュールが、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、
前記決定モジュールが、前記解析モジュールの解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、
装置である。
【0008】
非一時的機械可読記録媒体であって、情報を処理するための命令のセットを含む非一時的機械可読記録媒体が提供される。少なくとも1つのプロセッサに向けられる命令のセットは、クラウドセキュリティサービングエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信するステップであって、前記ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む、ステップと、
前記クラウドセキュリティサービングエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する、ステップと、
の動作を実行する。
【0009】
上記から分かるように、本開示において、クラウドクライアントエンドからファイルセキュリティクエリ情報を受信した後、クラウドサービスエンドは、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報で搬送される行動情報を関連付け、ライフサイクル内のファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従って前記ファイルのファイルセキュリティ情報を決定する。このように、本開示では、クラウドセキュリティサービスエンドは、未知のファイルの関連付けを通じて、ライフサイクル内の未知のファイルの複数を関連付ける。関連付けられた複数の行動、すなわち、行動シーケンスは、未知のファイルのファイルセキュリティ情報を決定するための効果的な基礎を提供する。したがって、未知のファイルのファイルセキュリティ情報を決定することができる。さらに、本開示は、サンプル収集オペレーションを必要としない。代わりに、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報が、ライフサイクル内の未知のファイルの行動シーケンスを生成するために利用される。したがって、未知のファイルのファイルセキュリティ情報を決定するための効率が向上する。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
本開示は、技術的解決法とそれによるメリットとを明確にするために、図面および実施例を参照しつつ以下でさらに詳細に説明される。
【0012】
図1は、クラウドセキュリティサービスエンドからセキュリティ情報を取得するクラウドクライアントエンドのフローチャートを示す。
【0013】
図1に示すように、プロセスは以下のブロックを含む。
【0014】
ブロック101で、クラウドクライアントエンドが、ファイル承認コードのような情報を、クラウドセキュリティサービスエンドに送信する。
【0015】
ブロック102で、クラウドセキュリティサービスエンドが、ファイルブラックリストまたはファイルホワイトリストの照会を介して、クラウドクライアントエンドによって送信された情報に対応するファイルが、安全であるか否かを判定する。
【0016】
ブロック103で、クラウドセキュリティサービスエンドが、クラウドクライアントエンドによって送信された情報に対応するファイルが、ブラックリストまたはホワイトリストにあるか否かを判定する。肯定の場合、方法はブロック104に進む。そうでない場合、方法はブロック105に進む。
【0017】
ブロック104で、クラウドセキュリティサービスエンドが、照会されたファイルセキュリティ情報に従って、ファイルセキュリティ情報プロンプトメッセージをクラウドクライアントエンドへ返信する。
【0018】
ブロック105で、クラウドセキュリティサービスエンドは、ファイルが未知のファイルであることを示すプロンプトメッセージを、クラウドクライアントエンドに返信する。ファイルがホワイトリストまたはブラックリスト内で見つからない場合、このファイルは未知のファイルである
【0019】
上記からわかるように、特定のファイルのファイルセキュリティ情報が、クラウドセキュリティエンドでのブラックリストまたはホワイトリスト内で見つけることができた場合、このファイルは既知のファイルである。未知のファイルに関しては、現在のクラウドセキュリティシステムは、そのセキュリティ情報を判定できない。
【0020】
本開示の実施例において、クラウドクライアントエンドからのファイルセキュリティクエリ情報を受信した後、クラウドセキュリティサービスエンドがファイルのセキュリティ情報を見つけることができなかった場合、ライフサイクル内のファイルの行動情報を取得してライフサイクル内のファイルの行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、解析結果に従ってファイルのセキュリティ情報を決定する。
【0021】
クラウドセキュリティサービスエンドは、様々な方法により、ライフサイクル内のファイルの行動情報を取得してもよい。例えば、クラウドクライアントエンドからのファイルセキュリティクエリ情報を受信した後、ファイルのセキュリティ情報が見つからない場合、クラウドセキュリティサービスエンドは、予め定められた時間に、または、予め定められたトリガ条件が満たされた場合、例えば、ファイルが予め設定された監視ポイントをトリガした場合に、ファイルの行動情報を報告するために、クラウドクライアントエンドに通知する。
【0022】
本開示の1実施形態では、クラウドセキュリティサービスエンドは、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信した後、前記予め設定された監視ポイントがトリガされたとき、前記クラウドクライアントエンドによって報告された前記ファイルセキュリティクエリ情報に従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成し、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析し、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定してもよい。ファイルセキュリティクエリ情報に基づいて、クラウドセキュリティサービスエンドは、前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成する。このように、ライフサイクル内のファイルの行動の複数が関連付けられている。関連付けられた複数の行動、すなわち、行動シーケンスは、ファイルセキュリティ情報を決定するための効果的な決定の基礎を提供する。したがって、ファイルセキュリティ情報を効果的に決定することができる。無数の悪意のあるファイルが現在のネットワークにあるため、ファイルセキュリティデータベースがタイムリーに更新されないことがある。本開示は、大量の未知のファイルのファイルセキュリティ情報を決定する問題を解決することができる。加えて、本開示は、ファイルのファイル行動情報の報告をファイルセキュリティクエリ情報と結合する。すなわち、前記予め設定された監視ポイントがトリガされたとき、ファイルセキュリティクエリ情報を報告し、ファイルセキュリティクエリ情報にファイル行動情報を搬送する。したがって、ファイルセキュリティ情報の照会手順および判定手順が1つの手順に結合することができる。1つのメッセージ、すなわち、ファイルセキュリティクエリ情報が、ファイルセキュリティ情報の照会およびファイル行動情報の報告を実現するために利用することができる。未知のファイルのファイルセキュリティ情報を照会しファイルセキュリティ情報を決定する手順と、メッセージのインタラクションとが、簡略化される。
【0023】
図2は、本開示による、クラウドセキュリティシステム内のファイルセキュリティ情報を決定するための方法の一例を示す。
【0024】
図2に示すように、本方法は以下のブロックを含む。
【0025】
ブロック201で、クラウドセキュリティサービスエンドが、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信する。ここで、ファイルセキュリティクエリ情報はファイルの識別情報と行動情報とを含む。
【0026】
ブロック202で、クラウドセキュリティサービスエンドが、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成する。
【0027】
ファイルセキュリティクエリ情報がファイル識別情報とファイル行動情報とを含むため、ファイルに関する、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報の複数に従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成することが可能である。
【0028】
ブロック203で、クラウドセキュリティサービスエンドは、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析する。
【0029】
未知のファイルの1つの行動に従って未知のファイルのファイルセキュリティ情報を決定することは不可能であるが、行動シーケンス、すなわち、ライフサイクル内のファイルの行動の複数が関連付けられているもの、からのライフサイクル内の未知のファイルの行動の複数は、ファイルセキュリティ情報を決定するための基礎として機能することができる。例えば、開始した後、無署名のプログラムをリリースし未知のドライバをロードし、自身を開始アイテムとして追加し、悪意のあるURLへ訪問し、すべてのディスクに自分自身をコピーする。このような行動シーケンスは、高リスク行動シーケンスであり、未知のファイルが安全ではないファイルものとして決定することができる。
【0030】
ブロック204で、クラウドセキュリティサービスエンドが、前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する。
【0031】
図2に示すような方法では、ファイルのファイルセキュリティ情報を決定した後、クラウドセキュリティサービスエンドは、ファイルのファイルセキュリティ情報に従って一連の動作を実行してもよい。たとえば、ファイルが安全なファイルであると判定された場合、ファイルが安全であることを示すプロンプトメッセージが、クラウドクライアントエンドに返信されてもよい。ファイルが安全ではないファイルであると判定された場合、ファイルが安全ではないことを示すプロンプトメッセージが、クラウドクライアントエンドに返信されてもよい。アンチウイルス動作を実行することをクラウドクライアントエンドに促すことも可能である。
【0032】
上記方法において、監視ポイントは、悪意のあるファイルによって修正される傾向がある監視ポイント、たとえば、モニタプロセス、ファイル、レジスタテーブルおよび/またはクラウドクライアントエンドのネットワーク動作のめに使用する、クラウドクライアントエンドのオペレーティングシステム内に構成することができる。クラウドクライアントエンドに危険度に従って、異なる危険レベルを異なる監視ポイントに割り当てることができる。
【0033】
クラウドクライアントエンドの監視ポイントがトリガされると、クラウドクライアントエンドは、監視ポイントをトリガするファイルに関するファイルセキュリティ情報を報告する。ファイルセキュリティクエリ情報に含まれる行動情報は、限定されないが、監視ポイントをトリガするプロセスの情報は、プロセスによって処理されるオブジェクト情報、および/または、プロセスの詳細動作情報、を含む。
【0034】
前記ライフサイクル内の前記ファイルの前記行動シーケンスについての解析が実行されたとき、クラウドセキュリティサービスエンドは、ファイルのセキュリティレベルを取得するように、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル行動シーケンスに従って生成されたファイル行動シーケンスモデルに従って、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析する。
【0035】
ファイル行動シーケンスモデルは、人工知能(AI)メソッドで実現してもよい。例えば、ファイル行動シーケンスモデルは、これらに限定されないが、外部の変化に鈍感なエキスパートシステム、ベイズ決定システム、遺伝的アルゴリズムシステム、自己学習能力を有するニューラルネットワークシステム、および、異常検出などのために使用されるエフェクティブコンテキスト関連分類マルコフチェーンシステム、などを含む。
【0036】
前記ライフサイクル内の前記ファイルの前記行動シーケンスの解析を通じてファイルセキュリティレベルが取得された後、クラウドセキュリティサービスエンドは、セキュリティレベルに従ってファイルのファイルセキュリティ情報を決定してもよい。
【0037】
例えば、ファイルのセキュリティレベルが第1の所定の閾値よりも高い場合、ファイルが安全なファイルと判定される。すなわち、安全なファイルとしてファイルセキュリティ情報がファイルにラベル付けされる。ファイルのセキュリティレベルが第2の所定の閾値よりも低い場合、ファイルが安全ではないファイルと判定される。すなわち、安全ではないファイルとしてファイルセキュリティ情報がファイルにラベル付される。
【0038】
ファイルの行動シーケンスに従って決定したセキュリティレベルが、ファイルが安全であるか否かを判断するのに十分ではない場合、例えば、セキュリティレベルが第1の閾値と第2の閾値の間にある場合、クラウドセキュリティサービスエンドは、ファイルに関するフィードバック情報の統計結果を統計情報データベースへ照会してもよい。ファイルのセキュリティレベルおよびファイルに関するフィードバック情報の統計結果が重み付けされる。ファイルのファイルセキュリティ情報は、重み付けの結果に従って決定される。
【0039】
統計情報データベースは、未知のファイルのフィードバック情報を格納するために使用される。フィードバック情報は、これらに限定されないが、未知のファイルの実行回数、および、未知のファイルの処理タイプの選択分布情報、などを含む。例えば、特定の未知のファイルがユーザーによって1000回ダウンロードされ、239のユーザーがファイルの実行を許可することを選択し、一方、他のユーザーがファイルの実行を禁止することを選択する。クラウドクライアントエンドによって返信された未知のファイルに関するセキュリティプロンプト情報を受信した後、クラウドセキュリティサービスエンドは、セキュリティプロンプト情報に従って処理し(例えば、ファイルの実行を許可、または、実行するためにファイルを禁じる、など)、クラウドクライアントエンドへファイルの処理情報を返信する。クラウドセキュリティサービスエンドは、前記クラウドクライアントエンドによって返信された前記処理情報に従って前記統計情報データベースを更新する。
【0040】
前記ライフサイクル内の前記ファイルの前記行動シーケンスによって生成されたセキュリティレベルとともに重み付けされること通じて、ファイルセキュリティ情報を決定するために使用されることに加えて、統計情報データベース内の情報は、さらに、未知のファイルに対する処理を選択するために、クライアントエンドを支援するために使用することができる。
【0041】
特に、クラウドセキュリティが、特定のファイルのファイルセキュリティ情報をファイルセキュリティデータベース内で見つけない場合、ファイルが未知のファイルであると決定される。このファイルに関して、クラウドセキュリティサービスエンドは、このファイルに関するフィードバック情報の統計結果を統計情報データベースに照会し、フィードバック情報の統計結果に従って、前記クラウドクライアントエンドにセキュリティプロンプト情報を送信してもよい。例えば、セキュリティプロンプト情報は、これらに限定されないが、不明なファイルの実行回数、未知のファイルの処理タイプの選択の分布情報、を含む。
【0042】
上記の観点において、双方向のフィードバック法、すなわち、クラウドクライアントエンドが、未知のファイルの処理情報をフィードバックし、クラウドセキュリティサービスエンドが、未知のファイルのファイルセキュリティクエリ情報を受信した後に未知のファイルに関するフィードバック情報の統計結果を返信すること、を通じて、未知のファイルに適切な処理タイプを選択することをクライアントエンドにアシストするように、限定されるものではないが、不明なファイルの実行回数および未知のファイルの処理タイプの選択分布情報を含む未知のファイルについての有効な情報が提供される。例えば、クラウドセキュリティサービスエンドは、他のユーザーの大半はプログラムを禁止することを選択したことを示す、このことはほとんどのユーザーはこのプログラムを信用していないことを示す、情報を、クライアントエンドに返信する。プログラムの目的を知らない限り、ユーザーは、悪意あるプログラムの実行を回避するように、プログラムの実行を禁止することを選択する。一方、ユーザーの選択の統計情報は、クラウドセキュリティサービスエンドによって継続的に更新される。
【0043】
双方向のフィードバック法は、未知のファイルの初期のアクティブ期間中に特に有効である。例えば、ユーザーがプログラムをダウンロードし、プログラムがロードされ実行されるとき、クライアントエンドはこのアクションを監視し、クラウド照会を実行する。このとき、クラウドセキュリティサービスエンドは、この時点では、このファイルのファイルセキュリティ情報を有していない。従って、クラウドセキュリティサービスエンドは、統計情報データベースを検索し、利用の統計情報と他のユーザーの選択状況とをクライアントエンドに返信する。クライアントエンドは、プログラムを実行するか否かを決定するために統計情報を使用することができる。そして、クラウドクライアントエンドは、クラウドセキュリティサービングエンドにユーザーの選択情報をフィードバックする。
【0044】
上記の観点において、本開示は、未知のファイルのファイルセキュリティ情報を決定するように、前記ファイルの前記ファイルセキュリティクエリ情報に従って、ライフサイクル内のファイルの行動の複数を関連付け、ファイルのファイルセキュリティ情報を決定するための基礎を提供するために行動シーケンスを生成する。特に、フィードバック情報と組み合わされたとき、大量の未知のファイルのセキュリティ情報を決定する問題を解決する、未知のファイルのためのより良いセキュリティ情報が生成される。
【0045】
図3は、本開示による、クラウドセキュリティシステム内のファイルセキュリティ情報を決定するための方法の一例を示す。
【0046】
図3に示すように、本方法は以下のブロックを含む。
【0047】
ブロック301は、ブロック201と同様である。
【0048】
ブロック302で、クラウドセキュリティサービスエンドは、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報に従って、ファイルセキュリティデータベースに照会する。
【0049】
ブロック303で、クラウドセキュリティサービスエンドが、ファイルセキュリティクエリ情報に対応するファイルのファイルセキュリティ情報が見つかったか否かを判定する。肯定の場合、ブロック304が実行され、そうでない場合、ブロック305が実行される。
【0050】
ブロック304で、照会結果に従って、ファイルのファイルセキュリティ情報が決定され、本方法は終了する。
【0051】
このブロックでは、検索されたファイルセキュリティ情報は、ファイルのファイルセキュリティ情報として決定され、クラウドクライアントエンドに返信される。
【0052】
ブロック305〜307は、ブロック202〜204と同様であり、ここでは繰り返されない。
【0053】
上記の方法の例によれば、本開示の例は、図4に示すような装置を提供する。
【0054】
図4は、本開示による、クラウドセキュリティシステム内のファイルのセキュリティ情報を決定するための装置の一例を示す。
【0055】
図4に示すように、本装置は、受信モジュール401、生成モジュール402、解析モジュール403、及び、決定モジュール404を含む。
【0056】
受信モジュールは、予め設定された監視ポイントがトリガされたとき、クラウドクライアントエンドによって報告されたファイルセキュリティクエリ情報を受信する。ここで、ファイルセキュリティクエリ情報は、ファイルの識別情報およびファイルの行動情報を含む。
【0057】
生成モジュール402は、前記ファイルの前記ファイルセキュリティクエリ情報に従ってライフサイクル内の前記ファイルの行動シーケンスを生成する。
【0058】
解析モジュール403は、ライフサイクル内のファイルの行動シーケンスを解析することである。
【0059】
決定モジュール404は、解析モジュール403の解析結果に従って前記ファイルのファイルセキュリティ情報を決定する。
【0060】
解析モジュール403は、前記ファイルのセキュリティレベルを取得するために、ファイル行動シーケンスモデルに基づいて、前記ライフサイクル内の前記ファイルの前記行動シーケンスを解析してもよい。ここで、ファイル行動シーケンスモデルは、安全なファイルのファイル行動シーケンスおよび/または安全ではないファイルのファイル行動シーケンスに従って作成される。
【0061】
決定モジュール404は、解析モジュール403によって決定されたセキュリティレベルに従ってファイルのファイルセキュリティ情報を決定してもよい。セキュリティレベルが第1の閾値よりも高い場合、安全なファイルとしてのセキュリティ情報が、ファイルにラベル付される。セキュリティレベルが第2の閾値よりも低い場合、安全ではないファイルとしてのセキュリティ情報が、ファイルにラベル付けされる。
【0062】
図5は、本開示に従ったファイルセキュリティ情報を決定するための装置の別の例を示す。図5に示すように、装置は、受信モジュール401、生成モジュール402、解析モジュール403、決定モジュール504、および、照会モジュール505を含む。
【0064】
照会モジュール505は、前記ファイルの前記ファイルセキュリティクエリ情報に従って前記ライフサイクル内の前記ファイルの前記行動シーケンスを生成モジュール402が生成する前に、クラウドクライアントエンドによって報告されたファイルセキュリティ情報に従ってファイルセキュリティデータベースを照会する。
【0065】
決定モジュール504は、照会モジュール505がファイルのファイルセキュリティ情報を見つけた場合、照会モジュール505の照会結果に従って前記ファイルのファイルセキュリティ情報を決定し、そうでない場合、解析モジュール403の前記解析結果に従って前記ファイルのファイルセキュリティ情報を決定する。
【0066】
図6は、本開示に従ったファイルセキュリティ情報を決定するための装置のさらに別の例を示す。図6に示すように、本装置は、受信モジュール601、生成モジュール402、解析モジュール403、決定モジュール604は、照会モジュール605、および、送信モジュール606を含む。
【0067】
生成モジュール402と解析モジュール403の機能と動作とは、図4の対応するモジュールと同様であるため、ここでは繰り返し説明されない。
【0068】
照会モジュール605は、決定モジュール604によって決定されたセキュリティレベルが第1の閾値よりも低く、かつ、第2の閾値よりも高い場合、統計情報データベースからファイルに関するフィードバック情報の統計結果を得るために、前記クラウドクライアントエンドによって報告された前記ファイルセキュリティクエリ情報に従って、統計情報データベースに照会する。
【0069】
図4の決定モジュール404および図5の決定モジュール504と同様の機能に加えて、決定モジュール604は、さらに、照会モジュール605によって取得されたフィードバック情報の統計結果とファイルのセキュリティレベルとに従って、ファイルのファイルセキュリティ情報を決定する。例えば、決定モジュール604は、前記フィードバック情報の前記統計結果と前記セキュリティレベルとに重みづけし、前記重みづけした結果に従って前記ファイルセキュリティ情報を決定する。
【0070】
送信モジュール606は、クラウドクライアントエンドがファイルセキュリティプロンプト情報に従ってファイルを処理するように、照会モジュール605によって取得されたフィードバック情報の統計結果に従って、前記クラウドクライアントエンドにセキュリティプロンプト情報を返信する。
【0071】
図4の受信モジュール401と同様の機能に加えて、受信モジュール601は、さらに、クラウドクライアントエンドのファイルに対する処理情報を受信し、処理情報に従って統計情報データベース更新する。
【0072】
本開示の実施例は、さらに、未知のファイル未知のファイルセキュリティ情報を決定するための方法を実行するための、1つまたは複数のプロセッサによって実行可能な命令のセットを含む、非一時的な機械読取可能な記憶媒体を提供する。特に、システムまたは記憶媒体を備えた装置が提供されてもよい。記憶媒体は、上述の任意の実施形態の動作を実行するための、システムまたは装置のプロセッサ(例えば、CPUまたはMCU)によって実行可能なプログラムコードのセットを含む。
【0073】
記憶媒体に記憶されたプログラムコードは、上記の任意の実施形態の機能を実現することができる。したがって、プログラムコード及びプログラムコードを記憶した記憶媒体は、本開示の一部を形成する。
【0074】
プログラムコードを記憶した記憶媒体は、フロッピー(登録商標)ディスク、ハードディスク、磁気ディスク、コンパクトディスク(例えば、CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+ RW)、磁気テープ、非一時的記憶カード、および、ROMを含む。一例では、プログラムコードは、通信ネットワークを介してサーバコンピュータからダウンロードされてもよい。
【0075】
いくつかのまたはすべての処理はまた、本開示の実施形態の機能を実現するためのプログラムコードに基づいて、コンピュータのオペレーティングシステムによって実行されてもよいことに留意すべきである。
【0076】
加えて、プログラムコードは、記憶媒体から読み出されてもよいし、コンピュータに挿入された拡張カードのメモリに書き込まれてもよいし、または、コンピュータに接続された拡張ユニットのメモリに書き込まれてもよい。その後、プログラムコードは、上述の実施形態の機能を実現するように、すべてのまたはいくつかの処理を実行するために、拡張カードまたは拡張ユニット内のプロセッサによって実行される。
【0077】
本明細書に説明され示されたものは、そのバリエーションの一部に従った、開示の好ましい例である。本明細書で使用される用語、説明および図面は、例示のためだけに記載されており、制限を意味するものではない。多くの変形を、特に明記しない限りすべての用語はその最も広い合理的な意味をなして、添付の特許請求の範囲によっておよびそれらの均等によって定義される、本開示の精神および範囲内とすることができる。
【符号の説明】
【0078】
401、601 受信モジュール402 生成モジュール
403 解析モジュール
404、504、604 決定モジュール
505、605 照会モジュール
606 送信モジュール